Zurück

Datenschutzerklärung

Stand: 22.4.2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO und des BDSG ist:
[Vor- und Nachname / Firma]
[Straße Hausnummer]
[PLZ Ort]
E-Mail: [email@domain.tld]

2. Kurzübersicht: Was wir verarbeiten

  • Registrierungs- und Logindaten (E-Mail, Passwort-Hash, Name, 2FA)
  • Portfolio-, Transaktions-, Watchlist- und Alert-Daten
  • Deine Fragen an die KI (Analyse-Prompts) und deren Antworten
  • Nutzungs-Logs für Abrechnung/Kostenlimit (Tokens, geschätzte USD-Kosten pro Aufruf)
  • Technische Daten (Session-Cookie, IP zur Rate-Limitierung)

Wir verkaufen keine Daten und setzen keine Tracking-Pixel ein.

3. Registrierung und Nutzerkonto

Zur Anlage eines Nutzerkontos speichern wir E-Mail-Adresse, Passwort (als bcrypt-Hash), optional den Namen und deine Einstellungen. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald du dein Konto löscht — siehe unten „Account-Löschung".

4. Session-Cookie

Wir setzen ein einziges technisch notwendiges Cookie namens sa_session (HttpOnly, SameSite=Lax, in Produktion Secure). Es enthält ein signiertes JSON-Web-Token zur Identifikation deiner Session und ist 30 Tage gültig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich, keine Einwilligung nötig).

5. Portfolio- und Analyse-Daten

Die Ticker, Stückzahlen, Transaktionen, Notizen, Watchlist-Einträge und Alerts, die du anlegst, werden in unserer MongoDB-Datenbank gespeichert. Sie sind pro Nutzer-ID abgeschottet; andere Nutzer sehen sie nicht (Ausnahme: von dir explizit zum Teilen freigegebene Watchlists oder Zeitschriften-Analysen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. KI-Anbieter (Drittlandübermittlung)

Für KI-gestützte Analysen übermitteln wir den Text deiner Anfrage und die dafür erforderlichen Portfolio-/Kursdaten an den von dir oder vom Administrator konfigurierten KI-Anbieter:

  • Anthropic PBC (Claude) — Empfänger in den USA. Anthropic bietet Standardvertragsklauseln an. Es werden keine Trainingsdaten aus API-Aufrufen verwendet (Anthropic Commercial Terms).
  • Google LLC (Gemini) — Empfänger EU oder USA. Google bietet Standardvertragsklauseln an.
  • OpenAI und kompatible Anbieter — je nach vom User gewählter Base-URL; bei OpenAI direkt: Empfänger USA, Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 49 Abs. 1 lit. b DSGVO für die Drittland­ übermittlung. Vermeide es, personenbezogene Dritt-Daten in deine KI- Prompts einzugeben.

7. Externe Kursdaten

Zur Anzeige von Kursen, News und Fundamentaldaten rufen wir (serverseitig, ohne dass deine IP-Adresse an den Drittanbieter gelangt) Daten von Yahoo Finance (Yahoo Inc., USA) und als Fallback von Stooq (Polen) ab. Übermittelt werden ausschließlich die Ticker-Symbole; keine personenbezogenen Daten.

8. Transaktionale E-Mails

Zur Bestätigung der E-Mail-Adresse, für Password-Resets, Digest-Mails und Alert-Benachrichtigungen versenden wir E-Mails über einen SMTP-Dienst. Der Anbieter ist: [SMTP-Hoster eintragen, z. B. Strato, Postmark, Resend]. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Rate-Limiting und Protokollierung

Zur Abwehr von Missbrauch speichern wir IP-Adressen für Registrierungs- und Login-Versuche kurzzeitig im Arbeitsspeicher (Rate-Limiting). KI-Aufrufe werden für Abrechnung, Kostenlimits und Admin-Statistik im UsageLog protokolliert (ohne IP, nur Nutzer-ID, Operation, Token-Zahl, geschätzte Kosten). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Missbrauchsverhinderung).

10. Hosting und Datenstandort

Die Anwendung und die MongoDB-Datenbank werden auf [Hoster eintragen, Standort Deutschland/EU] betrieben.

11. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist die Behörde deines Bundeslandes; eine Liste findet sich unter bfdi.bund.de.

Auskunft, Export und Löschung kannst du direkt in den Einstellungen über die Funktionen „Meine Daten exportieren" und „Account löschen" ausführen — oder per E-Mail an den oben genannten Verantwortlichen.

12. Speicherdauer

Wir speichern deine Daten, solange dein Nutzerkonto aktiv ist, und löschen sie spätestens unverzüglich nach einer Account-Löschung. Gesetzliche Aufbewahrungspflichten (z. B. aus § 147 AO bei Rechnungen nach Einführung von Zahlungspflichten) bleiben unberührt.

13. Änderungen dieser Erklärung

Bei wesentlichen Änderungen dieser Erklärung informieren wir dich per E-Mail an die bei uns hinterlegte Adresse.